GDPR e sanità: il binomio è delicato. I dati personali trattati dalle aziende ospedaliere, dai centri medici e simili sono estremamente sensibili. Generalmente, questi dati sono gestiti con software e sistemi informatici. È quindi impensabile proteggere dai rischi le persone a cui questi dati appartengono, e adeguarsi al regolamento europeo per la privacy, senza intervenire con un’azione mirata di cyber security.
Il team di ISEC, guidato dall’account Fabio Di Nicola, ha tracciato un quadro della situazione sul tema del GDPR in ambito sanitario, dal punto di vista della sicurezza informatica.
Il furto di dati sanitari: quali sono i rischi?
Come ha spiegato Fabio in una precedente intervista, più sensibili sono i dati trattati, più alto è il rischio per le aziende. E l’healthcare è un settore davvero vulnerabile.
1 – I dati del personale
Attraverso l’ottenimento, la correlazione e lo studio di dati personali, può essere effettuato un furto d’identità o sostituzione di persona con lo scopo di ottenere un accesso alle informazioni e ai sistemi aziendali (Social Engineering). Firma, CF e e-mail del personale sono sufficienti a operare una sostituzione di persona. Se normalmente il rischio in questo senso è già alto (truffe, danni alla reputazione personale e aziendale ecc), nel caso dei dati sanitari ci sono altri aspetti da tenere in considerazione. Uno, fra tutti, è la possibilità di contraffare le prescrizioni di farmaci. Ma, insisteva Fabio, “ci sono anche rischi che potremmo definire privati: ottenere informazioni sulla residenza e sui recapiti di un soggetto potrebbe esporlo, per esempio, allo stalking e a altri reati contro la persona”. Un rischio tanto più alto per chi svolge un lavoro delicato come quello medico;
2 – I dati dei pazienti
Per quanto concerne i pazienti, oltre a dati personali su residenza e contatti, che sono esposti ai rischi già indicati, vi sono dati altamente sensibili: quelli che descrivono lo stato di salute psicofisica della persona. L’azienda ospedaliera gestisce informazioni sulla storia clinica del paziente, i farmaci usati o le dipendenze, le patologie, gli aspetti familiari, piscologici e psichiatrici. Insomma, una serie di informazioni che, se intercettate con intenzioni criminose, espongono la persona a grandi rischi. Per questo il GDPR alle aziende sanitarie richiede degli sforzi di tutela.
L’ IoT medico complica il quadro della protezione informatica
Ranosmware come WannaCry sono riusciti, nel 2017, a infettare le reti informatiche di alcune aziende ospedaliere primarie. L’interconnessione di molti dispositivi moltiplica le vie di accesso alle infrastrutture informatiche da parte di attaccanti malevoli (umani o bot). È allora possibile coniugare i benefici dell’IoT in ambito medicale con le necessità della sicurezza informatica e della compliance al GDPR nella sanità?
“La risposta è sì”, dice Fabio Di Nicola, “ma occorre un ripensamento concettuale del modo di intendere la protezione dei dati informatici, secondo un approccio che sia più preventivo che non emergenziale, e che preveda una mappatura delle reti e dei rischi, nonché la definizione di una strategia difensiva preventiva, volta a minimizzare la possibilità che vengano rubati o danneggiati i dati dell’azienda sanitaria”. Senza dimenticare le sanzioni per chi non si adegua al GDPR: pochi mesi fa, si è diffusa la notizia della prima multa comminata ad un ospedale europeo in Portogallo. Alla struttura è stato contestato il fatto che i dati clinici dei pazienti fossero accessibili non solo dal personale medico, ma anche da quello amministrativo. La multa elevata è stata di ben 400.000€.
Cosa fare per proteggere le reti informatiche dell’azienda sanitaria?
Le strategie per proteggere le infrastrutture informatiche nell’industria sanitaria possono differire tra loro: le dimensioni dell’azienda, la quantità dei dati trattati, l’esposizione al rischio, la situazione di partenza sono aspetti che richiedono una pianificazione ad hoc. Quello che descriviamo, quindi, è l’approccio che il team di ISEC ha studiato per ottimizzare i risultati delle azioni di sicurezza informatica e compliance al GDPR in ambito sanitario, in base alle esperienze maturate nel settore healthcare.
1 – Diagnosticare
La prima cosa da accertare è la situazione di partenza dell’azienda. Questo step è la valutazione del rischio informatico, o risk assessment, ed è una prerogativa della compliance al GDPR. “In questa prima fase”, spiega Di Nicola “lavoriamo per valutare l’esposizione di un’azienda alla perdita o alla violazione dei dati. Spesso questi sono situazioni già avvenute e le proprie informazioni aziendali sono già reperibili sul web, sia su database illegali, sia su fonti lecite, con il rischio di essere utilizzate per scopi malevoli. E la maggior parte delle volte di tutto questo le aziende non ne sono consapevoli”. Il nostro team di Threat Intelligence è specializzato in tecniche di investigazione e analisi delle informazioni reperibili da fonti aperte sul web, incluso il dark-web.
2 – Curare
Individuate le vulnerabilità, le debolezze e i punti di esposizione delle infrastrutture informatiche, bisogna intervenire per mitigare il rischio informatico. La mitigazione deve essere pensata sulla base dei risultati della valutazione del rischio: la personalizzazione è la chiave del successo di questo approccio, a maggior ragione in presenza di dati sensibili come quelli sanitari. La strategia del team ISEC agisce su due fronti, uno umano e l’altro tecnico. Sul fronte umano, interviene nella formazione del personale dell’azienda, sia sul tema GDPR e sanità, che sulla sicurezza informatica. Sul fronte tecnico, invece, si opera sull’infrastrutta di rete per l’inasprimento dei sistemi di difesa (hardening) con soluzioni per il rilevamento e prevenzione dalle intrusioni (IDS, IPS), la raccolta e la correlazione in tempo reale del traffico di rete e analisi comportamentale (USM), la protezione Endpoint, la prevenzione da frodi on-line con l’utilizzo di mail sospette (phishing defence). Nello specifico, ISEC ha scelto di servirsi delle soluzioni AlienVault, Fortinet e Kaspersky.
3 – Monitorare
Allo sforzo di limitare e mitigare il rischio di data breach e attacco malevolo alle reti informatiche dell’azienda sanitaria, segue il monitoraggio continuo delle infrastrutture. Proponiamo un approccio volto alla gestione unificata e semplificata della sicurezza informatica, integrato con i nostri servizi di monitoraggio continuo all’interno di un Security Operation Center (SOC) in cui, fisicamente, gli esperti del nostro team controllano, anche 24×7, lo stato di sicurezza delle reti. Nonostante gli sforzi di prevenzione, un data breach o un attacco potrebbero verificarsi. In questi casi ci si attiva per la gestione dell’incidente informatico, con conseguente intervento immediato per arginare l’emergenza (Incident Response). Successivamente, come previsto dal regolamento GDPR, si assiste il cliente nella notifica dell’evento al Garante della Privacy.
Se desideri approfondire gli aspetti di sicurezza informatica legati al GDPR in ambito sanitario, contatta il team di Fabio Di Nicola al numero + 39 085 9431161.